Fortinet防特网：网络与安全融合的SD-WAN，助力企业降本增效|fortigate|fortinet|wan|广域网|运维|防特网

来源：“鑫智奖”第五届金融数据智能优秀解决方案评选

获奖单位：Fortinet防特网（飞塔）

荣获奖项：网络信息安全创新优秀解决方案

一、解决方案简介

Security SD-WAN：Fortinet 是全球唯一拥有 SD-WAN 专用芯片的安全驱动型网络领域的领导者，也是 Gartner 魔力象限中执行力最高的领导者，部署该解决方案的企业和组织将能够为其员工提供高质量的体验，通过一个操作系统，基于硬件芯片加速的融合型安全和网络能力来简化企业网络和安全架构，并实现跨所有广域网和云边缘的高运营效率。保证金融机构在提升优化业务同时保证网络的安全性，信息的安全性。

不可避免的，金融行业大多会有总部、分支机构，不论这些节点是通过MPLS、DIA、ADSL，甚至是 4G/5G 线路实现的组网，都可以通过Fortinet 安全 SD-WAN 构建一张安全的Overlay 网络，改善过去多种底层网络的配置复杂、运维效率低、资源利用率低、使用成本高等缺点，以更智能、自动化的方式满足用户在数字化转型时代的新需求：配置简单、最大化 WAN 资源利用率、降低设备资产和管理运营成本。

当提到 SD-WAN，大多数人会把它当做一种新型的组网技术，因此 SD-WAN 以优化多条广域网链路利用率，不参与组网的独立工作场景通常被忽视了。当我们使用大量的云应用时，如腾讯云，阿里云，会议软件，WPS，各种各样的公有云平台，如果不经优化，我们就不得不面临无法掌控的应用体验，不可预测的应用性能和可用性。另一方面，企业广域网边缘处也会臃肿不堪，路由器、普通网关、下一代防火墙、负载均衡、流控、VPN 网关（或 ZTNA 零信任代理）等等。

方案的实际应用场景：

应用场景一：分布式企业分支与总部互联

利用 SD-WAN 技术，可以很好的应对分支互联优质网络、随时故障备份及运维挑战，取得网络质量、构建和运营成本、灵活和响应速度三者之间的平衡。Fortinet 的 SD-WAN 解决方案特别适应于分布式企业，FortiGate 的分支机构门店的型号多样，接口丰富，满足 2Mbps 到 100Mbps 带宽的多种接入方式（DHCP，PPPoE，固定 IP 地址等），同时还具备 4G（外置和内置）接入功能；

FortiGate 的中心端的部署也非常灵活，具备高可用、高性能的特点，同时支持硬件、虚拟机（VMWare、KVM、HyperV 等主流虚拟化平台）、公有云（阿里云，AWS，Azure，腾讯云等）的部署方式。同时满足分布式企业的分支与多总部，分支与多数据中心的 SD-WAN 构建要求。具体部署模式如下：

应用场景二：基于 SD-WAN 骨干网的安全互联与安全访问

通过基于与运营商合作的 SD-WAN 骨干网，Fortinet 安全 SD-WAN 不仅可以实现分支的高效安全组网，还可以为各种分布式用户、场所和基于云的服务提供安全访问与按需连接，从而安全地实现数字化转型所需要的动态访问：

a.提供完善的安全能力，覆盖全部边缘（分支，远程，云）；

b.降低综合成本，提升运营效率（不需要多种安全和网络设备，降低网络、设备和策略复杂度，降低运维成本）；

c.扩展性极高，按需连接（地域，分支，云），更快的开设新分支，接入新的公有云区域，新员工 IT 就绪更快；

d.简化管理（不需要管理多点的多种设备，使用单个提供商的安全访问服务，节省人力和管理成本）；

e.网络和安全完美融合（全球连接、加速、SD-WAN、多种安全能力），无论用户位于何处，一致的体验，一致的安全策略。

应用场景三：统一平台构建统一的混合云和多云SD-WAN

在混合云和多云场景下，虽然每个公有云都有自己的网络服务，如 Azure vWAN，AWS Transit Gateway，Aliyun CEN，以及原生的 IPSec 和 SSL VPN 网关等等，但是他们都各自为战。如果用户使用混合云和多云，不得不面临多个云端网络服务的管理界面，通过完全不同的配置逻辑和方法，以及配置复杂的路由来“打通”多云网络，还要面临后续无尽的维护成本。当然，用户也可以选择通过专线实现高质量、简单但是昂贵、不灵活的多云和混合云互联。

Fortinet用户可以通过在不同的环境和位置部署 FortiGate 硬件或 VM 设备来实现简单、灵活的安全组网以及统一管理。

用户可以在 VMware，KVM，AWS，Azure，GCP 等环境中部署和使用 FortiGate-VM。FortiGate-VM 通过 Fabric Connector 与云平台原生网络服务及底层基础设施对接，让用户可以使用 SD-WAN 将混合云和多云网络进行安全联通。用户只需面对 FortiGate 或 Fabric Management Center 统一管理平台，即可轻松实现多云和混合云管理，通过一个平台，一套配置逻辑，统一管理多云网络和本地网络，无需在多个云平台控制台跳转，同时拥有能够与云平台服务自动化联动的企业级安全能力。

此外，Fortinet FortiGate 在硬件中提供的 FortiSPU 加速能力，也移植到了云环境中。

总结，Fortinet Security SD-WAN 解决方案适应于多种应用场景，为不同需求、不同网络规模、不同预算的客户提供帮助。其中，在Fortinet Security SD-WAN 方案架构中，FortiGate 作为 SD-WAN 的 CPE（小型 FortiGate）和集中器（大型FortiGate），FortiDeploy 提供零接触部署功能，FortiManager 进行SD-WAN 的策略和路径控制FortiAnalyzer 提供集中日志和报表功能，FortiAuthenticator 提供全方位的身份认证功能。

Fortinet 安全 SD-WAN解决方案的全构成

二、应用场景痛点简介

1.目前有很多 SD-WAN 和安全融合的设备，但是在 SD-WAN 项目中，企业还是习惯将网络和安全分开选择，因为网络和安全厂商各有侧重，即在网络方面顶尖的在安全方面能力通常有所欠缺，所以当企业选择网络和安全都顶尖的产品时，通常是两个品牌，或者一个品牌的两个产品线。在安全成为必须解决的问题之后，我们发现第一代SD-WAN 不但没有给企业带来更多的好处，反而增加了后续大量的设备、授权、运维、管理成本。

2.IT 系统是管理能力的重要组成部分，其中网络的质量和稳定性是极其重要的一环。传统广域网架构会面临以下挑战：

a.成本低的网络，质量很难得到保证；网络质量好的，成本高

b.没有备份线路，出现故障时没有备选方案

c.运维复杂，运维成本高，响应速度慢

d.IT 团队缺乏网络流量可见性，无法高效快速排查和解决潜在安全问题。

3.传统网络中的路由器架构/解决方案，在设计之初并未考虑支持新的流量模式，因此无法访问分布式应用程序。

4.传统安全架构要求首先将网络流量路由至数据中心进行安全检查，继而再转发至最终目的地。

三、解决方案亮点介绍

作为网络防火墙和广域网边缘基础设施两个魔力象限的双料领导者，Fortinet 以 Security Driven Networking（安全驱动网络互连）理念为基础，率先提出安全 SD-WAN（Secure SD-WAN）产品，并倡导安全应该作为 SD-WAN 的内生能力，而不是额外附加组件，以一个 FortiOS 平台为用户提供统一且完善的 SD-WAN 和下一代防火墙能力,为客户提供了一个最优选择。

Fortinet 安全SD-WAN优势：

1.改善应用访问体验

基于业务或应用的服务可靠性要求（SLA），以动态、自动化、高效率的方式在不同的广域网链路上实现流量调度。

具备对广域网传输进行优化的能力，增加容错性，并通过协议优化、数据压缩等方式提高传输性能。凭借 Fortinet 安全 SD-WAN 提供的增强网络性能，企业用户网络中断次数锐减65%。

5000+ 全球应用特征库，以及应用自学习功能。

2.原生集成业界一流的安全能力

下一代防火墙、IPS、反病毒、Web 过滤等应用层的安全检测和防御能力，保护网络免受漏洞利用、病毒传播、僵尸网络等高级威胁的侵害。

结合云沙箱或本地沙箱的未知威胁检测。

对于不同区域、部门和功能的网络，提供边界访问控制能力，根据 IP、应用、用户等方式进行权限的控制。

3.网络和安全的统一高效运营

统一管理平台提供全局网络与安全可见性及配置管理，助力企业安全和网络团队快速识别并修复网络故障，处理时间大幅缩减 50%。

零接触部署、自动化配置下发。